SAS Braathens svekker sikkerhetsarbeidet

SAS Braathens undergraver IT-bransjens arbeide på å lære opp brukerene, mener Norman.

SAS Braathens sendte ut personifiserte eposter til 180.000 av sine kunder der de ber dem gå inn på nettsiden for å oppdatere sin profil og legge inn kredittkortinformasjon.

Eposten var av en slik art at mistanken om at det var et phising-forsøk dukket opp hos de fleste datakyndige brukere.

Virusanalytiker Snorre Fagerland ler høyt når digi.no ringer ham og ber om en kommentar.

- Ordlyden er til forveksling likt det man finner i phising-eposter. Den kan helt klart oppfattes som et phishing-forsøk, sier Fagerland.

Nå var det ikke phising, men han mener likevel at det er problematisk at brukere får en slike epost fra et stort seriøst selskap.

- Den undergraver jo litt det vi i sikkerhetsbransjen prøver å fortelle, sier Fagerland til digi.no.

SAS Braathens forteller at eposten ble sendt ut fordi de skulle konsolidere konsernets kundedatabase.

- Vi byttet kundedatabase til en felles for hele SAS konsernet og derfor mente man at det var nyttig for kundene å få oppdatere sine bruker profiler, sier Thomas Midteide, informasjonssjef i SAS Braathens til digi.no.

Fagerland har forståelse for at epost er en gunstig og enkel måte å nå en stor gruppe på, men han stiller spørsmålstegn ved om ikke SAS Braathens burde valgt en annen metode.

- Det finnes tekniske løsninger for å få til dette på andre måter enn å sende epost. De har opprettet en ny profil. De kan i stedenfor epost be brukeren om å gå over til den nye profilen når de går inn på den gamle profilen. Det er ikke verre enn det, sier Fagerland.

- I utgangspunktet er jeg enig i det, men når du har en ny profil vil ikke den gamle virke lengre. Endel av disse kundene får nytt brukernavn og passord, sier Midteide, til digi.no.

Fagerland mener allikevel at det er et formildende trekk med eposten som SAS Braathens sendte ut:

- Det eneste jeg ser at er bra, er at lenken ikke ligger der. Adressen er der, men det er ikke en klikkbar lenke, sier Fagerland til digi.no.

SAS Braathens har også tatt lærdom av denne utsendelsen.

- I ettertid ser vi at denne eposten kunne vært utformet annerledes, sier Midteide til digi.no.

Til toppen